热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

面对全新的编程语言,这些思路可以帮助你察觉漏洞

为了直观体现代码审计思想,对漏洞情景进行了简化。前提:漏洞理应存在于所有语言之中,如果面对完全陌生的全新语言,有哪些思路可

为了直观体现代码审计思想,对漏洞情景进行了简化。

前提:漏洞理应存在于所有语言之中,如果面对完全陌生的全新语言,有哪些思路可以帮助我们察觉漏洞?本文将帮助你更深刻地领悟漏洞的成因,提升代码审计水平。


一,安全标准不一致

一门新的编程语言,作为后端处理程序,肯定是需要与中间件/数据库等其他模块相联系的,如果它们对待请求的安全标准不同,就可能导致安全问题。下面我们用一些已知语言的例子来演示这一点。


案例一 WSGI与中间件不一致

image.png

WSGI作为桥梁连接中间件和应用程序,而作为应用程序的这个全新的编程语言也会在这一环节安全问题。

WSGI与中间件具有重合的管辖领域,或者WSGI与应用程序具有重合的管控范围,就可能出现问题。
nginx+gunicorn为例。
gunicorn是在中间件和pytho之间的一个桥梁,它是图中WSGI的一种,也可以处理http请求。
如果中间件是nginx,它和gunicorn都有权力检查http请求,此时就可能出现问题。
python部分


【一一帮助安全学习,所有资源获取处一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析


image.png

nginx部分
image.png

此时,nginx对待请求和gunciron对待请求的标准不同。构造/privateHTTP/1.1/…/…/public。
nginx会解析…/返回上级目录,认为该请求是访问/public,安全地放行传给gunicron,而gunicorn不会这样解析,反而认为是发送了两个包,解析为访问/private和访问/public。这样就绕过了安全检查。


案例二 数据类型安全标准不一致

这门全新的编程语言势必有多种数据类型来满足不同的需求,如列表、数组等等。这时安全标准不一致就可能导致问题。
no-sql一度认为不可被注入,最后却败于这一点。
mongodb+js为例。
mongodb舍弃了sql语句,规范写法不采用拼接方式调用执行。即使采用安全规范,与php组合也容易出现问题。
mongdb部分
image.png

js部分
image.png

这里是无法拼接跳出的,字符串就是字符串,然而,借助js与php类似的可以传入数组参数的特性,构造/login?username=admin&password['$ne']=1可以让mongdb解析为db.Users.find({username:'admin',password:{'$ne':'1'}});这里的$ne是mongodb的操作符,意思为不等于,此时语义使得admin密码不为1即可登入成功。


案例三 多种注入防御机制不一致

这门新的编程语言往往需要在不同情景输入/输出,输出在html可能导致xss注入,输出在mysql可能导致sql注入。我们可以采用一些安全措施来限制它们的产生,但是这两种防御机制不相容时就会出现问题。

以xss注入防御+sql注入防御为例。
xss防御部分:
删去所有标签
sql防御部分:
删去黑名单关键字
总体效果
image.png

在关键字插入标签即可绕过。


二,代码与数据可转换

一门新的编程语言,为了使用方便,常常需要把一些代码转化成数据,或者把一些数据转化成代码,这可能导致安全问题。下面我们将以几个案例演示这一点,


案例一 不安全的模板渲染

模板渲染是编程语言常见的功能,有时具有一些安全问题。
前端部分
image.png

对应代码
image.png

模板部分
1661764806_630c84c60c4a79faf4278.png

我们可以看到,开发者已经殚精竭虑的做了安全限制,尽可能的避免漏洞,每一个变量的限制都在避免产生漏洞,然而,依旧产生了漏洞。这是因为这依旧没能完全分离数据与代码,导致安全问题。
1661764952_630c8558bb8f91f7afc37.png
在user部分输入)/*
接着在punc部分输入*/ 任意一个无字母数字的shell ?>
让punc从数据变成代码,跳出安全限制,顺利getshell。
要知道,开发者已经殚精竭虑的做了安全限制,却仍然被突破。错误的渲染方式可能导致数据与代码没有严格分离,造成漏洞。


案例二 跨语言的数据传递

这种新的编程语言有时需要与其他语言的脚本交互,传输数据时就可能采用标记语言,比如xml、json、yaml等等。或者是使用配置文件来储存一些关键常量。这样有时会造成安全问题。
yaml是一种可以储存数组、对象、列表等各种数据类型用于书写配置文件或者跨语言传输数据使用的标记语言。
以yaml反序列化漏洞为例。
python部分
功能是给在线解压的压缩包写一个配置文件
1661766690_630c8c22c266849187e87.png

yaml部分
当我们以某种方式覆盖这个yaml文件,换成如下内容,就会形成反弹shell。
image.png


三,可预测的安全处理方式

一门新的编程语言,势必会有一些逻辑代码来提高安全性,当我们不是选择拒绝非法输入而是对非法输入进行安全处理时,就可能造成安全问题。


案例一 人性化矫正输入

有时我们会善意的为输入者可能的错误输入形式进行矫正,这可能为攻击者提供便利。
以CVE-2022-30333为例
在unRAR小于 6.12的版本中,存在一个由于人性化矫正输入引发的漏洞,简单的来说,我们可以输入解压后的文件路径,开发者已经在这里殚精竭虑的做了安全限制,会把…/等尝试目录穿越的操作认为是危险。但是,仍然产生了漏洞。函数DosSlashToUnix()出于人性化的考虑把\(反斜杠)转化为/(正斜杠),使得…\能够变成…/绕过安全检查,导致目录穿越。最终效果就是可以在任何目录下写入任意文件。


案例二 不安全的安全性过滤输入

我们如果修改非法输入而不是拒绝非法输入,就很可能产生问题。
以sql注入的不成熟防御为例。
image.png

image.png

有的人可能会说黑名单不全,事实上就算把sql所有保留字列入黑名单依旧存在问题,因为你并不是拒绝输入而是改写输入,这个情景下可以双写绕过。
输入?id=’ oorr 1=1#
因为输入被改写了,可预测的改写形式能够被利用,造成绕过。


案例三 可预测的密钥加密

当我们把某个认为攻击者不可能获取的系统变量作为密钥,为程序的安全性沾沾自喜时,也许就会翻车。
以flask模块的session为例
image.png

flask的session放在COOKIE中,通过密钥加密保证其未i被篡改。而这里密钥就是主机名,如果通过某种方式获取了这一变量,就会导致session被攻击者完全控制,攻陷网站所有的用户以及管理员。
image.png

后续服务中提供的下载功能具有缺陷,组合拳导致session也沦陷。


四,意外的可控变量

这门全新变成语言肯定需要与用户交互,从而控制一些变量。我们通常会对其进行安全检查,所以,出现意外的可控变量(我们认为不可控但实际上用户可控)就很容易导致安全问题。


案例一 把变量储存在两个地方

当我们把变量储存在两个地方,就可能导致安全检查失效。
以二次注入为例
image.png

image.png

这里实现了一个用户登录功能,开发者已经在这里殚精竭虑的做了安全限制,各种转义处理。但是他把变量储存在了两个地方,导致漏洞仍然出现。
image.png

我们可以发现那个非法输入藏在session逃过了安全检查,如果构造username=’ or 1=1#
就可以修改所有用户的密码。


案例二 认为某可控变量不可控

实际上编程语言中即使采用获取常量的方式获取一些变量,也不能大意,它们也许还是可控的。
以User-agent注入为例。
image.png

image.png

可以看到开发者已经在这里殚精竭虑的做了安全限制,安全意识很强,但是依旧出现问题。
image.png

这都是因为开发者使用的语言中,获取变量的方式也许是常量形式,开发者认为其不可控引起的。


结语


具有安全意识的开发者仍然可能产生漏洞,因为很多开发用不到的特性、甚至编程语言官方非预期的情景不是开发者掌握的知识,代码安全审计是必要的。这门全新的编程语言可能出现的问题却是任何编程语言代码安全审计需要注意的共通之处。



推荐阅读
  • Cookie学习小结
    Cookie学习小结 ... [详细]
  • Vulnhub DC3 实战记录与分析
    本文记录了在 Vulnhub DC3 靶机上的渗透测试过程,包括漏洞利用、内核提权等关键步骤,并总结了实战经验和教训。 ... [详细]
  • 2023年1月28日网络安全热点
    涵盖最新的网络安全动态,包括OpenSSH和WordPress的安全更新、VirtualBox提权漏洞、以及谷歌推出的新证书验证机制等内容。 ... [详细]
  • 汇总了2023年7月7日最新的网络安全新闻和技术更新,包括最新的漏洞披露、工具发布及安全事件。 ... [详细]
  • 软件测试行业深度解析:迈向高薪的必经之路
    本文深入探讨了软件测试行业的发展现状及未来趋势,旨在帮助有志于在该领域取得高薪的技术人员明确职业方向和发展路径。 ... [详细]
  • 实践指南:使用Express、Create React App与MongoDB搭建React开发环境
    本文详细介绍了如何利用Express、Create React App和MongoDB构建一个高效的React应用开发环境,旨在为开发者提供一套完整的解决方案,包括环境搭建、数据模拟及前后端交互。 ... [详细]
  • ABP框架是ASP.NET Boilerplate的简称,它不仅是一个开源且文档丰富的应用程序框架,还提供了一套基于领域驱动设计(DDD)的最佳实践架构模型。本文将详细介绍ABP框架的特点、项目结构及其在Web API优先架构中的应用。 ... [详细]
  • 使用 ModelAttribute 实现页面数据自动填充
    本文介绍了如何利用 Spring MVC 中的 ModelAttribute 注解,在页面跳转后自动填充表单数据。主要探讨了两种实现方法及其背后的原理。 ... [详细]
  • 本文由chszs撰写,详细介绍了Apache Mina框架的核心开发流程及自定义协议处理方法。文章涵盖从创建IoService实例到协议编解码的具体步骤,适合希望深入了解Mina框架应用的开发者。 ... [详细]
  • C/C++ 应用程序的安装与卸载解决方案
    本文介绍了如何使用Inno Setup来创建C/C++应用程序的安装程序,包括自动检测并安装所需的运行库,确保应用能够顺利安装和卸载。 ... [详细]
  • Python3爬虫入门:pyspider的基本使用[python爬虫入门]
    Python学习网有大量免费的Python入门教程,欢迎大家来学习。本文主要通过爬取去哪儿网的旅游攻略来给大家介绍pyspid ... [详细]
  • 本文探讨了如何通过优化 DOM 操作来提升 JavaScript 的性能,包括使用 `createElement` 函数、动画元素、理解重绘事件及处理鼠标滚动事件等关键主题。 ... [详细]
  • PHP面试题精选及答案解析
    本文精选了新浪PHP笔试题及最新的PHP面试题,并提供了详细的答案解析,帮助求职者更好地准备PHP相关的面试。 ... [详细]
  • 本文介绍如何通过参数化查询来防止SQL注入攻击,确保数据库的安全性。示例代码展示了在C#中使用参数化查询添加学生信息的方法。 ... [详细]
  • 实现Win10与Linux服务器的SSH无密码登录
    本文介绍了如何在Windows 10环境下使用Git工具,通过配置SSH密钥对,实现与Linux服务器的无密码登录。主要步骤包括生成本地公钥、上传至服务器以及配置服务器端的信任关系。 ... [详细]
author-avatar
seoer
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有